10月第5周安全回顾 IE7又现新漏洞 僵尸网络感染率上升

本文同时发布在： [url]http://netsecurity.51cto.com/art/200711/59514.htm[/url]

 

本周（1029至1104）安全方面值得关注的新闻集中在漏洞攻击、恶意软件、反垃圾邮件及行业动向方面。

漏洞攻击：攻击者瞄准IE7的新漏洞；关注指数：高
新闻：周三，Microsoft和安全公司Secunia警告说，发现有攻击者正在对一个未修正的IE7漏洞进行攻击，如果攻击者成功实施攻击，将有可能在用户的机器上通过IE7执行第三方程序。目前Microsoft已确认在Windows XP和2003上的IE7存在该漏洞，而Windows Vista则不受该漏洞的影响。

笔者观点：虽然目前Microsoft还没有公开针对该漏洞的攻击的详细信息，只说已经确认有“少量的”攻击的发生，但从Secunia所提供的漏洞信息来看，这些攻击所针对的是一个针对IE7通过URI调用第三方 程序的处理错误。另外，Microsoft在10月10日曾发布过关于这个漏洞的公告，并称 针对该漏洞的补丁正在开发中，但由于该漏洞的技术原理，补丁的发布尚需时日。笔者认为，从Microsoft和Secunia的公告来看，这个漏洞的威胁性要稍微比远程执行代码的漏洞低，但理论上说攻击者仍然可以通过按顺序执行指定的外部程序来达到控制用户系统的目的。按Microsoft平时补丁更新的进度，该漏洞补丁的发布最快也要到11月的第二周周二，所以建议用户在更新补丁前不要访问可疑或可信度低的网站，同时也应该警惕通过即时通讯、电子邮件等方法实施的社会工程学攻击。

另外，从最近的Windows 漏洞公开及攻击情况来看，随着Windows Vista的逐步推广，无论是Microsoft还是安全厂商对Windows平台的关注重心都会逐步从XP/2003转移到Vista上，攻击者也是如此，因此Windows Vista用户也不能放松警惕，要随时关注最新的漏洞攻击趋势，并做好对应的防护措施。

恶意软件：企业中Botnet的感染率上升；关注指数：高
新闻：周一，根据采集自Symantec向客户提供的Botnet（僵尸网络）活动跟踪服务中的数据，企业网络中的Botnet感染问题正日益严重。在Symantec向全球客户提供的安全监控中心（SOC）服务中，上个月曾有超过1000例与僵尸网络活动相关的安全事件被上报，平均每天发生超过30例。

笔者观点：在业界及用户的印象里，僵尸网络所针对的对象通常更偏重于“软目标”，也就是安全防御程度较薄弱的个人及家庭用户，僵尸网络操纵者最终要得到的收益也只限于使用受害者的系统进行DDoS、盗取特定账号密码或身份认证信息。但来自Symantec SOC运行报告显然有些出乎大家的意料，安全防御程度较高的企业及组织网络也常常成为僵尸网络攻击的目标，并且感染的样本中还包括诸如“财富500强”排名里面的企业，这不得不让业界和用户警惕。

笔者认为，因为目前的僵尸网络工具的作者，已经逐渐使用上P2P网络控制、Rootkit技术等原来较少见的高级技术，所以现在的僵尸网络已经不能用简单的IRC bot的标准进行衡量。而且僵尸网络的一个主要目标，就是要尽可能多的感染系统，企业中的计算机也同样存储有许多敏感的账户和密码信息，这样企业网络成为僵尸网络的攻击对象就不足为奇，当然，企业中僵尸网络的扩散还和许多企业的内外没有经过加固，或配置安全策略等有很大关系。建议企业用户也应该正视重视僵尸网络的威胁，通过部署良好的内网 控制和一致性方案，来对抗越来越严重的内网Botnet感染威胁。

反垃圾邮件：语音和视频文件可能将成为垃圾邮件攻击的新载体，关注指数：中

新闻：周二，电子邮件安全厂商MessageLabs警告称，垃圾邮件发送者为了躲避目前部署的各种反垃圾邮件方案的过滤，正在把目前的垃圾邮件发送策略改变为使用音频或视频方式。MessageLabs在10月17号曾捕获使用MP3作为附件的垃圾邮件样本，并发现这次垃圾邮件发送行为的发起者有可能就是年初使用PDF文件作为垃圾邮件载体的行动者。

笔者观点：因为音频及视频文件内容的识别涉及到人工智能的领域，因此用户要想使用反垃圾邮件的内容识别功能来检测并过滤音频和视频垃圾邮件将是一件“不可能的任务”。笔者认为，要对付音频或视频文件载体的垃圾邮件，必须从企业邮件使用策略上着手，目前许多电子邮件服务器或相关的安全方案已经提供了根据进出服务器的附件文件类型来决定是否拦截邮件的功能，用户只需开启并配置相关的策略便可防御使用附件形式进行发送的音频或视频垃圾邮件。对于使用网络视频共享网站进行垃圾邮件发送的攻击方式，则需要用户制定相应的关键词过滤策略。

行业动向：Cisco花费1亿美元收购数据库安全厂商Securent
新闻：周四，网络厂商Cisco日前宣布，将花费1亿美元现金，收购数据库安全厂商Securent。这次收购将是Cisco进行的第125次收购活动，收购完成后，Securent所擅长的数据库安全及内网SharePoint服务器安全技术将充实Cisco的产品线。

笔者观点：Cisco对Securent的收购，显示出Cisco在统一通讯平台（Unified Communication）及Web 2.0安全应用方面的抢先布局，Cisco与之相类似的行动还有今年早些时候对IronPort及五月份对WebEx的收购。笔者认为，统一通信这个概念才刚刚被提出没有多长时间，而企业内部的Web 2.0应用（诸如SharePoint、 Lotus Domino、GroupWise等企业常用的内部应用）也正在开始流行，Cisco的并购行为无疑是相当有前瞻性的，国内的安全厂商也可以适当关注这一领域的发展。